Обнаружена проблема в Reprise RLM 14.2. Поскольку cookie сеанса невелики, злоумышленник может перехватить любые существующие сеансы, переби…

Обнаружена проблема в Reprise RLM 14.2. Поскольку cookie сеанса невелики, злоумышленник может перехватить любые существующие сеансы, перебирая 4-символьный шестнадцатеричный cookie сеанса в версии Windows (версия Linux, похоже, имеет 8 символов). Злоумышленник может получить статическую часть cookie (имя cookie), сначала отправив запрос на любую страницу приложения (например, /goforms/menu) и сохранив имя cookie, отправленное с ответом. Затем злоумышленник может использовать имя cookie и попытаться запросить ту же страницу, установив случайное значение для cookie. Если у какого-либо пользователя есть активный сеанс, страница должна вернуться с авторизованным содержимым, когда будет найдено действительное значение cookie.